全托管單租場景下,用戶的業務跑在服務商賬號下的VPC環境中,VPC環境下的數據安全對用戶來說十分重要,計算巢提供了安全合規檢查機制來保障用戶的數據安全。
背景信息
全托管單租場景中,客戶的業務和數據運行在服務商的VPC中,雖然每個客戶都有獨立的VPC環境,避免了多租戶環境中可能出現的數據安全和隱私問題,但是全托管單租場景依賴于服務商來管理和維護資源,如果服務商的技術支持不達標或者操作不合規,可能會影響客戶的業務操作和數據安全,比如以下場景中可能會導致數據安全問題。
1. 公網訪問風險:VPC中的資源允許公網訪問,可能會導致網絡攻擊或者數據泄漏。
2. 資源變動影響:如果VPC中移入無關的資源,可以通過跳板機訪問客戶應用,導致服務中斷或數據篡改。
3. 數據遷移泄漏:對VPC內的數據進行遷移或導出,導致客戶數據泄漏。
4. 私網打通風險:通過VPC私網打通訪問服務商的VPC, 導致客戶數據泄漏或篡改等問題。
配置合規檢查步驟
服務商開啟合規包檢查
服務商創建或更新全托管服務時,可在高級配置部分,開啟當前服務版本的合規包檢查。該功能免費。
當前服務開啟了合規包檢查后,不允許關閉。
目前支持對VPC內的數據安全風險進行檢查,當該項功能開啟后,會檢查VPC內部潛在的數據泄露風險事件。
目前全托管單租的數據安全合規包中,主要根據以下規范檢測風險事件:
資源不允許開公網:此規范下需要檢查服務器、數據庫等資源是否有配置公網的操作記錄,是否有配置公網網關的操作記錄。
VPC內的資源不允許遷入遷出:此規范下檢查VPC中是否有資源變更的操作記錄,比如將無關的服務器移入到此VPC中。
數據類產品只允許在VPC內訪問:此規范下檢查數據靜態存儲的訪問權限是否為公開的,并且是否限制不允許公網訪問。
數據類產品不允許導出:此規范檢查是否有配置數據同步、數據遷移、創建服務器鏡像、創建磁盤快照等事件的操作記錄。
VPC網絡不允許打通:此規范檢查是否有與用戶之前的其他VPC 進行私網打通的操作記錄。
查看服務實例的風險事件
當全托管服務開啟了合規包安全檢查后,如果部署的服務實例中觸發了某個風險項,用戶和服務商在服務實例的日志欄Tab中可查看風險事件。
服務商查看
如果用戶部署的服務實例觸發了某個風險項,那么在服務實例的日志欄Tab中,服務商可點擊合規包日志進行查看。
注意:當該Tab上有小紅點時,表示有未讀的風險信息。
步驟如下:
按圖示步驟找到用戶部署的服務實例
查看具體的風險事件
用戶查看
如果服務商需要授權用戶可查看風險事件,可在服務運維(選填)處開啟代運維,
步驟示例如下:
服務處設置開啟代運維
用戶按下圖標志找到自己的服務實例
查看具體的風險事件
訂閱云監控風險通知事件
在計算巢控制臺,用戶和服務商可以查看當前實例的風險事件,如果想及時接收風險提醒,可以通過云監控訂閱事件,并配置事件的通知策略,即可在風險事件觸發后及時收到提醒。
配置步驟如下:
訪問云監控控制臺
選擇“通知配置”并創建策略,此處需要填寫策略名稱和通知的聯系組。
找到【事件中心】-【事件訂閱】-【創建訂閱策略】
填寫訂閱策略名,將訂閱范圍的產品選擇到“計算巢”,事件名稱選為:“服務實例不合規事件”
選擇上述第二步配置的通知配置,并配置自定義的通知方式
點擊提交后,就成功訂閱事件, 在事件觸發時會收到通知,另外在云監控的系統事件位置處也可以看到發生的不合規事件。
